Heureka nutí obchody předávat citlivá zákaznická data v rozporu se zákonem a GDPR
Jedná se o program Ověřeno zákazníky. Do této nadstavbové služby Heureky se může přihlásit jakýkoli obchod. Podmínkou je krátký program na stránce pokladny obchodu, který Heurece automaticky zašle identifikaci obchodu, email zákazníka, čas nákupu, (volitelně též) obsah nákupu včetně jednotlivých položek zboží, a to bez ohledu na původ zákazníka, ať přijde z Heureky či jde o vlastního zákazníka obchodu).
Problémem není samotný sběr osobních údajů, ale povinná forma předzašktrntého souhlasu s jejich zasláním Heurece (princip OPT-OUT viz dále v článku). Tuto formu Heureka pro aktivaci či pokračování služby vyžadovala a trvala na ní dle dohledatelných pramenů minimálně až do roku 2019. I nyní na ní buď trvá nebo se tak na svém webu alespoň tváří – svá dřívější vyjádření nedementuje – „Podle stanoviska Úřadu pro ochranu osobních údajů je princip opt-out v souladu s GDPR„. Mimochodem tento titulek je ze strany Heureka lživý, jak bude vysvětleno dále. Mnoho nezávislých pramenů (např. podnikatel.cz , separatista.net, webtrh.cz GDPR – Heureka nám zastavila zasílání hodnocení), ale i z mnoha stránek Heureka dokládá, že služba vůči obchodům neplnícím princip OPT-OUT byla Heurekou skutečně pozastavována a že Heureka protizákonný systém fakticky vynucovala.
Není nám známo, kdy byla zavedena volitelnost předzaškrtnutí informace o obsahu nákupu (ostatní informace – obchod, email zákazníka čas nákupu – má být dle požadavku Huereka nadále předzaškrtnuta). Před účinností GDPR script Heureka jednak nepožadoval souhlas zákazníka vůbec (Heureka se chybně domnívala, že není třeba – viz dále) a zahrnoval bez dalšího i informaci o obsahu nákupu. Tato skutečnost však není relevantní a závěry článku platí bez ohledu na ni.
Extasica. Jedinečné sexuální hračky.
Skutečný dosah dotazníku Heureka – o co tu vlastně jde
Článek 2.6. Ochrana osobních údajů na portálu Heureka.cz sděluje, že Heureka od obchodu, kde jste nakoupili, a to BEZ OHLEDU, ZDA JSTE DO OBCHODU PŘIŠLI Z HEUREKA ČI ODJINUD, dostane email zákazníka, obsah nákupu s identifikací jednotlivých výrobků, čas nákupu.
Tato data jsou archivována (citace ze zdroje tamtéž) „…po dobu 6 měsíců od odeslání dotazníku; pokud dotazník spokojenosti vyplníte, uchováme si vaše pseudonymizované osobní údaje po dobu čtyř let od vyplnění dotazníku.“
Pseudonymizování dle čl. 4.5) GDPR znamená „zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.“ Jednoduše řečeno, údaj o emailu a obsahu nákupu je Heurece stále k dispozici, jen ne úplně snadno dostupný. Heureka na daném odkazu hovoří o zašifrování emailu. Není jasné nakolik je schopna jej v případě potřeby dešifrovat a konkrétní mail spolu s objednávkou opět spojit. To však pro naše účely není relevantní, neb ke zpracování osobních údajů došlo již nezákonným odesláním údajů eshopem a přijetím dotazníku ze strany Heureka.
Citace Heureka: „Pokud je to potřebné pro ohodnocení ověření pravosti vašeho hodnocení, můžeme si v některých případech od partnerského internetového obchodu vyžádat i další dodatečné údaje, zejména vaše identifikační a kontaktní údaje a údaje o objednávce. Pro tyto účely osobní údaje uchováváme po dobu nezbytnou pro posouzení hodnocení, maximálně však po dobu 6 měsíců.“ (citace z odkazu tamtéž).
Jinými slovy Heureka takto v rozporu se zákonem a GDPR získala a uchovává odhadem sta miliony záznamů o nákupech lidí v ČR a SR. Tyto záznamy má potenciál kombinovat se znalostí Vaší IP adresy, identifikačních údajů a jiných údajů, jež jsou jí dostupné na základě jiných právních skutečností. Máme ověřeno, že tato dodatečná data Heureka s informací o nákupu skutečně spárovat umí a i tak činí, jak sama přiznává, minimálně pro potřeby autentizace zákaznických hodnocení. Celkový dosah nelze vyhodnotit, ale Heureka tak může nezákonně disponovat daty obyvatel ČR a SR srovnatelnými v mase a citlivosti s Google či Facebook.
Heureka tuto masivní informační kontrolu odůvodňuje autentizací zákaznických recenzí (ochrana před falešnou sebechválou a špiněním konkurence), případně zlepšováním služeb. To však lze snadno a stejně efektivně realizovat i principem opt-in. Tj. že zákazník udělí aktivní souhlas (zaškrtnutí, nikoli pasivní souhlas předzaškrtnutím) se zasláním dotazníku. Toto nastavení však podmínky služby Ověřeno zákazníky obchodům Hureka zakazuje obchodními podmínkami, a to z prostého důvodu. Heureka by pak dostávala mnohem méně citlivých a komerčně hodnotných dat.
V praxi zákazník zaškrtávací pole a volby na stránce pokladny eshopu často nesleduje a nechává ty přednastavené. V praxi tedy zákazník mnohdy posílá data Heureka, aniž by o tom věděl, a to i zákazník, jež s Heureka nemá co do činění. I proto čl. 9.2. a) Nařízení EPR č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) vyžaduje výslovný – aktivní uvědomělý souhlas (např. aktivním zaškrtnutím) pro činnosti, jež nespadají pod oprávněný zájem zpracovatele. Nelze tedy namítat, že systém umožňuje odmítnout dotazník deaktivací přednastaveného souhlasu se zasláním dotazníku Heureka (aktuální opt-out systém).
Obchody jsou tak vzhledem k monopolu Heureka, pokud recenze chtějí, nuceny porušovat Nařízení GDPR ve prospěch Heureka pod hrozbou vysokých pokut. A to je právě ten kámen úrazu.
Komu to vadí. Těm, co nemají rádi zasílání dotazníků. Heureka se na svém webu chlubí, že má vyšší návratnost dotazníků než vlastní dotazníky eshopů a to 30%. Ze zbylých 70% zákazníků, jež nevyloučili zaslání dotazníku odečteme vadné emailové adresy a ty, jež dotazník chtěli, ale nakonec se rozhodli jej nevyplnit. Zůstává nám velmi vysoké procento lidí, jež dotazník nechtějí a pouze nesouhlas opomněli zaškrtnout. Řekněme 60%. Sečtme-li opomenutí a vyloučení souhlasu, odhadem se zasláním dotazníku Heureka fakticky nesouhlasí 70% nakupujících. Z pohledu efektivity a obtěžování zákazníka by tak bylo vhodné nechat souhlas přednastaveně nezaškrtnutý. Zejména citlivé je v případě nákupu léků, kosmetických, erotických eshopů, kde je to jednoznačné. Ale citlivé to může být i u jiných specifických eshopů. Např. někomu nemusí být po vůli, že Heureka má masivní informace o jeho nákupech v Army a Airsoft shopech, neb na „blázny do Army“ se např. někteří lidé či personalisté mohou dívat s předsudky. Na luxusní výrobky, odkrývající poměry zákazníka to dopadá pouze omezeně, neboť informaci o obsahu nákupu mohou eshopy nechat v nezaškrtnuté formě. Není vůbec podstatné, jak s těmito informacemi Heureka nakládá a jak je případně chrání. Podstatné je, že je získává nezákonně.
Heureka obdržela četné námitky protiprávnosti v diskuzi na stránce Heureka a GDPR. Z odpovědí je zjevné, že protiprávního opt-out požadavku nebude ochotna vzdát se dohodou, ale až po stanovisku Úřadu pro ochranu osobních údajů či rozhodnutí soudu o negatorní žalobě na udržení se protiprávního jednání ze strany Heureka.
Odkaz tamtéž: „Sama skutečnost, že zákazník v lékárně nakoupil, nevypovídá jeho zdravotním stavu, proto ji za citlivý údaj nepovažujeme. … Jan Kriegel Ředitel zákaznické podpory Heureka.“ Pominu nyní, že odpověď hovoří o nákupu v lékárně, a vyhýbá se tak odpovědi ohledně informace o nákupu konkrétního léku konkrétní osobou, jíž je Heureka často dle emailu často schopna plně identifikovat z dat shromažďovaných nezávisle na službě Ověření zákazníky, jak sama uvádí za účelem ověření pravosti recenzí a vyloučení falešných recenzí. I samotná internetová návštěva např. lékárny, sexshopu, pokud jste schopni návštěvníka identifikovat, jde dle mého názoru osobním údajem, a to dokonce citlivým osobním údajem ve smyslu čl. 51 recitálu GDPR a § 66 odst. 6 zákona č. 110/2019 Sb. o zpracování osobních údajů ve znění p.p.. Toto tvrzení Heureka však již bylo překonáno stanoviskem ÚOOÚ Kontrola zpracování osobních údajů v souvislosti se zasíláním dotazníků spokojenosti (společnost Heureka Shopping s.r.o. a též jej zohledňují OBCHODNÍ PODMÍNKY PROGRAMU „OVĚŘENO ZÁKAZNÍKY“, jež tyto údaje považuje za osobní. „Osobní údaje (e-mailové adresy) jsou za účelem vygenerování dotazníků předávány kontrolované osobě na základě souhlasu subjektu údajů ve smyslu § 5 odst. 2 zákona č. 101/2000 Sb. (právní titul pro zpracování), který zákazníci udělují prostřednictvím obchodních podmínek při nákupu zboží či služby v jednotlivých internetových obchodech.“
Právní rozbor protiprávnosti jednání Heureka
V sekci FAQ GDPR Dotaz č. 1 k tomu Heureka uvádí: „Tento náš postup je v souladu s legislativou a GDPR, což máme potvrzené renomovanou právní kanceláří Rowan Legal a konzultační společností KPMG, se kterými jsme se na GDPR dlouhou dobu připravovali a také konzultacemi v rámci APEK. Odkazovaný článek APEK však odkazuje pouze na argumentaci danou Heureka. Ze strany Heureka se tedy jedná jednak o přiznání značné nejistoty ohledně svého postupu („což máme potvrzené“) a hlavně o zcela prázdný argument ve smyslu „APEK o tom říká pouze to, co jsme mu řekli my“. To dále svědčí až o podezřelé nejistotě Heureka ohledně správnosti závěrů KPMG a Rowan legal.
Z odkazu APEK pak plynou 2 věcné argumentace, patrně tedy od KPMG a Rowan legal.
- Oprávnění zasílat obchodní sdělení jeho zákazníkům je obchodníkovi dáno na základě příslušných ustanovení zákona o některých službách informační společnosti (ZSIS).
- „Na základě poslední věty bodu 47 Recitálu Nařízení, podle něhož lze zpracování osobních údajů pro účely přímého marketingu považovat za zpracování z důvodu oprávněného zájmu ve smyslu čl. 6 odst. 1 písm. f) , není k zasílání obchodních sdělení zapotřebí souhlasu subjektu (příjemce).„
AD1 Oprávnění zasílat obchodní sdělení bez souhlasu
Dle vyjádření na dalších stránkách Heureky zde Heureka ústy APEK míní §7 odst. 3. zákona č. 480/2004 Sb. o některých službách informační společnosti ve znění p.p. (ZIS). Citace relevantní části zákona“ :…využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb.“
Obchodním sdělením je dle jazykového výkladu informace, jež nabízí produkt službu či jinou výhodu za účelem uzavření kontraktu. Žádost o hodnocení tak nelze do obchodního sdělení zařadit.
AD 2. Správná citace poslední věty čl. 47 Recitálu GDPR je: „Zpracování osobních údajů pro účely přímého marketingu lze považovat za zpracování prováděné z důvodu oprávněného zájmu.“ Proč dotčené údaje spadají do množiny osobních údajů, bylo již vysvětleno výše. Heureka přiznání statusu osobních údajů těmto informacím svou argumentací přímým marketingem a konec konců i v obchodních podmínkách OBCHODNÍ PODMÍNKY PROGRAMU „OVĚŘENO ZÁKAZNÍKY“ sama potvrzuje. Zbývá osvětlit pojmy přímý marketing a právní zájem.
Přímé marketingové sdělení
návrh Nařízení ePrivacy čl. 4 odst. 3 písm. f)
„přímým marketingovým sdělením“ se rozumí jakákoli forma reklamy, ať už písemná nebo ústní, která je zaslána jednomu nebo více identifikovaným nebo identifikovatelným koncovým uživatelům služeb elektronických komunikací, a to včetně využití automatických volacích a komunikačních systémů se zásahem člověka nebo bez něj, elektronické pošty, SMS atd.;
Požadavek na hodnocení obchodu v žádném případě není reklamním sdělením zákazníkovi (jazykový výklad bez jakýchkoli pochybností). I pokud odhlédněme k dosud nepřijaté úpravě Nařízení ePrivacy a podíváme se na jazykovou a běžně přijímanou definici přímého marketingu, tak žádost o hodnocení do něj nepatří. Přímý marketing je pouze faktické nabízení produktu či služby. Žádost o hodnocení by teoreticky mohla maximálně spadat do nepřímého marketingu. Zejména pokud zákazník do obchodu nepřišel z Heureka, nemá s Heureka co do činění, a v žádném případě neočekává, že by mu dotazník Heureka měl být zaslán. Chce prostě jen nakoupit a nebýt obtěžován.
Oprávněný zájem
Tento pojem čl. 47 recitálu GDPR a jeho parametry jsou v našem případě irelevantní. Heureka službu definuje jako přímý marketing a je si vědoma, že tato cesta křičí o porušení zákona nejméně a že žádný jiný právní zájem by obhajitelný nebyl. Přímý marketing pak nutno jako oprávněný zájem vnímat i bez splnění dalších parametrů čl. 47 (viz poslední věta čl. 47). To v důsledku znamená možnost i zasílání výslovně nezaškrtnutých reklam (stačí jen políčko k zaškrtnutí nesouhlasu). U poslední věty čl. 47 Recitálu GDPR EU podlehla lobingu obchodů a zpronevěřila se principu předpisu a důvodné ochrany osobních dat. ÚOOS pak neměl jinou možnost, než tuto vadnou legislativu EU, přijatou ZIS, stanoviskem potvrdit. Na toto stanovisko v souvislosti se službou Ověřeno se zákazníky odkazuje i Heureka, ale tato argumentace je zcela vadná, neb stanovisko se věnuje něčemu zcela jinému, a to přímému marketingu.
Dobrovolnost služby pro obchody
Dobrovolnost služby pro obchody není z hlediska ochrany osobních údajů relevantní. Relevantní však je v případě ochrany hospodářské soutěže vzhledem k monopolu Heureka. Pokud by postup Heureka byl napaden z hlediska hospodářské soutěže, bylo by složitější dokazovat jeho protizákonnost. Nejde o program v programu (Explorer ve Windows), ale o ucelenou službu jednoho subjektu, jejíž podmínky stanoví. U ÚOHS by to tedy byl velmi nepěkný spor s možností milionu argumentů na straně Heureka, ale nikoli předem prohraný (odhad 50 na 50).
Klamavé zaštiťování služby zdánlivým posvěcením úřadu ÚOOÚ a renomované auditorské společnosti PwC
Na tomto odkaze Heureka v souvislosti zejména s Programem ověřeno zákazníky uvádí: „Heureka dodržuje zákon č. 101/2000 Sb., o ochraně osobních údajů v platném znění a plní všechny stanovené povinnosti. Plnění všech povinností stanovených tímto zákonem ve vztahu k OZ kontroloval v Heurece Úřad pro ochranu osobních údajů (ÚOOÚ). Tato kontrola správnost všech procesů v Heurece potvrdila. Nad rámec této kontroly jsme zažádali o audit programu OZ a nakládání s osobními údaji. Ten provedla nezávislá auditorská společnosti PwC, který výsledek UOOU potvrdil.“
Heureka však neuvádí, že se jednalo o kontrolu zaměřenou na zpracování osobních údajů a jejich bezpečnost a nikoli o legálnost jejich získávání. V odkazu na další stránku s popisem obsahu auditu PWC pak sama Heureka přiznává, že šlo o audit ohledně zabezpečení dat a nikoli legálnosti jejich získání a renomovanou auditorskou společností Price Water House Coopers tak v původním kontextu argumentuje klamavě. To potvrzuje i samotný audit PwC, na nějž Heureka rovněž odkazuje.
Ejhle, a ono je to úplně jinak – Souhlas s poskytnutím osobních údajů
V souvislosti se stanoviskem ÚOOÚ Kontrola zpracování osobních údajů v souvislosti se zasíláním dotazníků spokojenosti (společnost Heureka Shopping s.r.o.) se tedy dostáváme na úplně jiný právní základ zasílání osobních údajů v rámci Ověřeno zákazníky, než Heureka všude na svém webu tvrdí, a to výslovný souhlas zákazníka se zpracováním osobních údajů a zasláním Heureka. Nikoli zákonný důvod na základě přímého marketingu (jenž byl též dovozen chybně viz výše). To mimo jiné znamená, že závěry renomované auditorské společnosti KPMG a advokátní kanceláře Rowan Legal, jsou buď zcela chybné či opět jako v případě výše lživě prezentovány Heurekou.
V čem tedy Heureka nyní jedná protizákonně
Je poměrně jednoznačná shoda napříč právníky, že takový výslovný souhlas musí být udělen aktivně (např. zaškrtnutím a nikoli předzaškrtnutím). To aktuálně tvrdí též oficiální portál EU na dotaz „Jak by měl být vyžádán můj souhlas?“ Odkazuje na argumenty dále. čl. 42 Recitálu GDPR „Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu.“Tento výklad zastává přípravný materiál COMMISSION STAFF WORKING PAPER Impact Assessment /* SEC/2012/0072 final */ „in the context of the on-line environment – the use of default options which the data subject is required to modify in order to reject the processing (‚consent based on silence‘) does not in itself constitute unambiguous consent.“ Tento materiál pak cituje a potvrzují Pokyny EDPB o souhlasu podle nařízení (EU) 2016/679 str. 15. Členské státy jsou povinny se těmito pokyny řídit či řádně zdůvodnit, proč tak nečiní. Odmítnutí pokynů bývá na úrovni členských států výjimečné. Na odmítajících úřadech obvykle následují compliance audity ze strany centrálního orgánu EU. Možná tomu nebudete věřit, ale úředníci kontroly své vlastní osoby milují úplně stejně jako podnikatelé. Lze tedy předpokládat, že ÚOOÚ se závěry EU souhlasí. Pokud odhlédneme od výkladu EU a na věc se podíváme čistě intuitivně z pohledu běžného spotřebitele, několik předzaškrtnutých políček pod sebou – např. Obchodní podmínky, Souhlas se zpracováním osobních údajů, souhlas se zasláním dotazníku Heureka, opravdu takovou záruku jednoznačného a vědomého souhlasu nenabízí. Upřímně, ani právníci většinou nečtou smluvní ujednání při instalaci svých soukromých mobilních aplikaci. Prostě odbouchají políčka souhlasu a pokračují v instalaci. Tedy takovou záruku následně nemusí nabízet ani pole vyžadující aktivní zaškrtnutí … ale na rozdíl od pole předvyplněného Vás donutí aspoň přečíst první 4 slova a zajistí alespoň povědomí o tom, s čím souhlasíte. Závěr o nedostatečnosti předzaškrtnutého pole pro platný souhlas je tedy správný právně i věcně. Hovoří se o online prostředí (případ Heureky a eshopů), ale analogicky lze vztáhnout i na psané dokumenty. Tomu odpovídá i dlouhodobá praxe úřadů, finančních institucí, zdravotnických, školních a předškolních zařízení, vlastně všech vyjma Heureky.
Mj. obchodní podmínky Heureka OBCHODNÍ PODMÍNKY PROGRAMU „OVĚŘENO ZÁKAZNÍKY“ již ani nedeklarují, že obchod je povinen ponechat souhlas se zasláním dotazníku předzaškrtnutý. Heureka tak své partnery obchody zákazníky udržuje v nevědomosti, ač si je patrně vědoma, že souhlas dle čl. 9.2. a) GDPR nesmí být předzaškrtnutý a vystavuje je tak riziku obrovských pokut za porušení GDPR. A to v situaci, do které je sama proti jejich vůli navezla.
Děkuji všem těm, jež řešili podobný problém a na ÚOOÚ udeřili. Zdánlivě se domohli jen posvěcení konání Heureka, dopad to však mělo zásadní. Systém OPT-OUT formulářů Heureka pro hodnocení zákazníků je totiž potichoučku OUT… nahrazen systémem OPT – IN, v souladu s GDPR. To však pouze při správném informování zákazníka. Informační vzor Huereka pro Informovaní zákazníka obchodem je nedostatečný, ale to je již bolest eshopů a jejich právníků.
Heureka … za mě tedy morální palec dolů za klamání partnerů a zákazníků, ohýbání vyjádření ÚOOÚ, PwC, APEK a možná dalších. To však nejsou jediní bití. Ve své lačnosti po zákaznických datech se Heurece povedlo pošramotit též pověst KPMG a Rowan Legal (buď zásadně chybovali ve svých právních závěrech či je Heureka přetlumočila veřejnosti též lživě). ÚOOÚ se rozhodně proti OPT OUT mohl vyjádřit jasněji. Jenže by si tím sám nadělal do bot, že tak masové porušování GDPR až do stížností mnoha zákazníků toleroval … Vlastně i Heureka musí dělat mrtvého brouka. Proč všechny ty články o vynucování OPT OUT nevymazali a nevydali info, že OPT IN nyní povolují ze své libovůle hodného monopolního strýčka. Takto to na ně může kdykoli dopadnout. Asi ta výživná data za ten reputační megaprůšvih nadále stojí. Ne právně, neb Heureka formálně za nic neodpovídá. Přímá odpovědnost jde za eshopy. Ale mediálně. Heureka sice nucením partnerů do protizákonné činnosti porušuje dobré mravy a tedy a i právo, ale vyčíslit a prokázat škody, jež takto způsobila, je téměř nemožné. Negatorní žalobou se lze pouze domáhat upuštění jednání Heureky proti dobrým mravům, pokud by OPT-OUT nadále přímo či nepřímo (klamáním na svém webu) vynucovala. Heureka uvádí, že návratnost dotazníků je 30%. V systému OPT IN bude nižší. To by se dalo překonat zjištěním návratnosti v systému OPT IN, jež poběží nyní. Eshop však nebude schopen prokázat jaký dopad by pozitivní recenze měly na jeho tržby. Odhadem, eshop, jenž získává jen dobré recenze, by mohl růst o 20-50% ročně rychleji.
Rozbor inicioval jeden z mála poctivých sexshopů Extasica.com. Místo předžalobní výzvy Heureka mu tak s radostí sdělím, že službu navzdory klamavým prohlášením Heureka mohou jako OPT-IN aktivovat i proti vůli Heureka a Heureka se patrně vzhledem k rozboru výše nebude dále bránit. Službu sexshop Extasica deaktivoval při prověřování GDPR a samozřejmě je absence recenzí bolí. Primární škodu (nižší zisk) z absence recenzí za 2 roky k dnešnímu dni vyčíslují na 100 000 – 300 000 Kč. To nezahrnuje absenci nezískané reputace (tedy škody budoucí). Obchod však za recenze nebyl ochoten své zákazníky prodávat tak jako 98% ostatních sexshopů. Článek je též potvrzením obrovské síly Heureka. Ukazuje na stav, kdy eshopy škemrají, aby jim Heureka dovolila používat její služby, ikdyž jsou v rozporu se zákonem.
Mj. v listopadu 2022 jsem se anonymně přihlásil na Alza. A nejen, že se Alza poslušně vrátila na Heureku (viz. článek Jak Alza mačkala svůj vřed na Heureku) – mj. další doklad síly Heureka, ale souhlas s poskytnutím emailu a obsahu nákupu má má též předzašktnutý. Na druhou stranu Alza neprodává léky nebo sexuální pomůcky, takže v tomto případě porušování zákona Alzou může vadit tak leda bohatým lidem, kteří nechtějí aby se vědělo o jejich majetku a nákupech a ti zpravidlou čtou pozorně.
2.10. 2020 JUDr. Ing. Vladimír Koranda, Ph.D., nezávislý právník se specializací na Občanské právo, IT právo a Ecommerce
aktualizace 27.3.2021 od 1.4.2021 má být dle hromadného emailového oznámení Heureka dáno do souladu se zákonem. „Dobrá práce redakce“ zní od iniciátora článku Extasica,com, jenž jako jeden ze sta odmítl „prodávat“ zákaznická data Heurece za více zákaznických recenzí 🙂